Vulnerabilidad XSS en Paypal cuestiona su nuevo modelo de seguridad

Enviado por admin el 17. Mayo 2008 - 10:26.

Pocas semanas después de que Paypal anunciara su nueva política antiphishing, que incluiría el veto de navegadores considerados "inseguros", el finlandés Harry Sintonen acaba de publicar una vulnerabilidad de Cross Site Scripting (XSS) que ejemplifica mediante esta pantalla de Explorer 7:

 

 

La página afectada muestra la URL de conexión segura a Paypal sobre el fondo verde que otorga su flamante certificado de validación ampliada (EV-SSL), lo que da perfecta idea de su gravedad...

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Un pequeño apunte

Enviado por anónimo el 17. Mayo 2008 - 11:34.

Simplemente un apunte, ya que desgraciadamente, creo se puede incurrir, según la lectura que se haga de la noticia, y según el conocimiento de la persona que lea, en una mala interpretación.

La seguridad extendida en SSL (EV-SSL) no tiene absolutamente *nada* que ver con la existencia, o no, de una vulnerabilidad XSS.

La posibilidad de injectar código script en el lado del cliente, depende de una incorrecta validación de las rutinas de entrada/salida del aplicativo web. Es más, en ningún momento hay evidencia de que esta vulnerabilidad XSS en paypal sea explotable, es decir, que se pueda inyectar código script en una salida del aplicativo, no implica que pueda ser aprovechada por un atacante externo.

Simplemente eso, intentar que no se mezclen churras con merinas. EV-SSL es una cosa, los XSS son otra, y una ventana con "it is safe?" no es la evidencia más conveniente para determinar el verdadero impacto y alcance de una vulnerabilidad.

Un saludo.

Por supuesto

Enviado por admin el 17. Mayo 2008 - 12:54.

Nada tiene que ver... excepto que constituye otra prueba fehaciente de que la cadena siempre se rompe por el lado más débil y que las afirmaciones grandilocuentes sobre la fortaleza de un eslabón no garantizan en absoluto la fortaleza de la cadena.

O sea que no... pero "sí". Eso es lo que quería expresar con mi redacción, que espero que ahora quede aún más claro.

Curiosa aclaración

Enviado por anónimo el 19. Mayo 2008 - 14:57.

El último párrafo del link de paypal que mencionas dice:

If you're in the IT or Information Security business, we think you'll find it to be useful and relevant. I invite you to download the whitepaper here. (you may need to right click and select Save As).

(el "here" contiene un link al paper). Me parte de la risa la aclaración de "right click and select Save As", supuestamente dirigida a expertos en seguridad informática. Se pasan de condescendientes.

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...